Segredos do Windows Credenciais em cache

Raymond Chen

Se você tiver feito logon em seu computador com uma conta de domínio, alterar sua senha (digamos que de outro computador), então bloquear sua estação de trabalho, você pode desbloqueá-lo com a senha antiga, mesmo que a senha foi alterada. Por que é?

Quando você faz logon, o serviço Winlogon lembra um hash da senha, e ao tentar desbloquear uma estação de trabalho bloqueada, a senha é hash e comparada ao hash da senha usada para fazer logon. Se eles corresponderem, em seguida, Winlogon continuará para desbloquear a estação de trabalho, mesmo que a senha possa ser obsoleta. Esse comportamento é uma otimização de desempenho de rede para evitar inundating o controlador de domínio com solicitações de autenticação. Desbloquear mais operações são com a senha correta e evitar a conexão com o controlador de domínio reduz o tráfego de rede e melhora significativamente o desempenho em conexões de rede lenta.

Mas espere, isso significa que você não pode bloquear usuários fora da rede, alterar suas senhas?

Não, você ainda pode bloquear usuários fora da rede, alterar suas senhas. O hash de senha armazenada em cache é usado somente para acessar a estação de trabalho local. Depois que o usuário tenta acessar um recurso de rede, esse recurso de rede irá solicitar o controlador de domínio, "Ei, é isso realmente o cara ele alega ser?" e o controlador de domínio será responder, "Boa tentativa."

Mas espere, isso significa que você pode manter desbloquear estação de trabalho com uma senha obsoleta e, portanto, ignorar uma senha alterar no controlador de domínio e, assim, manter usando sua estação de trabalho?

Bem, Sim, mas você pode fazer que já: o truque é chamado não bloquear sua estação de trabalho em primeiro lugar. Se você nunca bloqueie sua estação de trabalho, em seguida, não importa como funciona o algoritmo de desbloqueio de estação de trabalho, porque ele executa nunca mesmo!

Se você preferir que desbloquear uma estação de trabalho se conectar ao controlador de domínio para Certifique-se que a senha não tenha expirado e você pode usar o Editor de diretiva de grupo para ativar o Exigir autenticação de controlador de domínio para desbloquear a diretiva de estação de trabalho.

Observe que esse cache de nível de uma senha para desbloquear uma estação de trabalho é diferente de credenciais de logon de domínio em cache. Credenciais armazenadas em cache são usadas quando um controlador de domínio não está disponível para verificar uma senha. Nessas condições, a senha inserida pelo usuário é comparada ao que armazenados no cache, e se eles corresponderem (ou mais precisamente, se os hashes do hashes corresponderem), em seguida, o logon é considerado para ter êxito. Enquanto o cache para desbloquear uma estação de trabalho é uma otimização de desempenho para evitar a contatar o controlador de domínio (mesmo que ele esteja disponível), as credenciais de cache é um fallback usado quando o controlador de domínio é totalmente indisponível, mas você ainda deseja permitir que os usuários acessem recursos da máquina local.

Credenciais armazenadas em cache podem ser uma abençoada e um praguejar, dependendo do que óculos de cor que você estiver usando. Para usuários de laptop, credenciais armazenadas em cache são essenciais para fazer logon no laptop quando o computador é desconectado da rede corporativa. Sem eles, laptops apenas tornaria paperweights quando não está no escritório, que counteracts um dos motivos para ter laptops em primeiro lugar.

Por outro lado, as credenciais em cache permite que um ataque offline nas informações armazenadas no cache de credencial. Se o laptop cair em mãos unfriendly, um invasor pode assumir o tempo todo no mundo para tentar adivinhar a senha do usuário sem o seu controlador de domínio descobrir. Lembre-se você, o cache de credencial não contém as senhas ou até mesmo os hashes de senhas, para que uma senha "quebrada" suposta é apenas um sucesso probabilístico (e você pode inclinar as chances de seu favor exigindo senhas de alta segurança). Claro, um laptop roubado concede acesso físico irrestrito ao hacker, para que as informações não criptografadas no laptop próprio já for comprometidas, senha ou sem senha. Mesmo assim, se a idéia de credenciais em cache fornecer heebie-jeebies (garantidos ou não), você pode definir o CachedLogonsCount para zero para desativá-los. Se você combinar isso com autenticação de controlador de domínio exigir para desbloquear a diretiva de estação de trabalho, você tem os caches de senha desativados em ambas as direções.

Raymond Chen Site da Web " Old New Thing"e escreveu um livro (Addison-Wesley, 2007) homônimo lidar com a história do Windows, programação Win32 e hipótese do Krashen de entrada abrangente.